【深度调查】网易邮箱到底怎么了?

摘要: 黑产的发展,已经不再仅仅是给你拨打个广告电话、发个垃圾短信这么简单,而是基于数十亿数据的智能分析。某种程度上,黑产的“魔头”才是真正的大数据拥有者,你的信息泄露得越完整,面临的风险便越大。

“我的两个苹果手机都成板砖了!”“你的手机解锁了吗?”“你的密保答案还记得吗?”“苹果客服今天打通了吗?”“你们给敲诈者付钱了吗?”

10月20日,在一个“Apple ID被盗找回”的QQ群里,近百人在彼此焦急地互相询问着。10月10日开始,他们的iPhone手机陆续在一夜间突然打不开了,屏幕上只留下一行字——“此设备已丢失,请与QQ××××××联系(或是登录××网站)。”

这并非小概率事件,在新浪微博上,更多人在发出同样的疑问,被勒索的原因只有一个,Apple ID账号失窃,被黑客远程登录iCloud后,利用苹果的“查找iPhone”功能,将手机锁死。

类似的勒索诈骗并非新鲜事,但与此前不同的是,此次被盗的Apple ID都指向同一个邮箱服务商——网易邮箱。

  • 10月19日,著名白帽子网站乌云发布消息:网易163/126邮箱疑似过亿数据泄露(涉及邮箱账号/密码/用户密保等)。
  • 10月19日下午5:43分网易邮箱发布辟谣声明,称网易数据不曾被泄露,用户密码泄露只是被“撞库”。
  • 10月20日,《IT时报》记者拿到一份据称是被泄露的100个网易邮箱样本,经过测试,记者不仅进入了某些邮箱,甚至可以通过密保问题和答案改掉原有密码。
  • 10月21日,国家互联网应急中心(CNCERT)通报情况,确认这100条数据中有20条账号密码匹配正确,但尚无法支持“过亿数据泄露”这一判断。

一夜间,手机变板砖

10月17日 早上,一觉醒来的卷卷(化名)习惯性地伸个懒腰,顺手拿起了枕头边的iPhone 6 Plus,可屏幕上的一行字让她顿时睡意全无,“此设备已丢失,解锁请联系QQ3××××,序号071。”手机明明就在自己手里,怎么会丢失呢?可不管她如何操作,黑色的屏幕上只有这一行字闪烁,手机全无反应。

焦急的卷卷赶紧用另一个手机拨打了苹果服务热线,往日几乎一拨就通的400电话,却总是占线。好不容易接通后,一听她描述的情况,客服人员便告诉她,可能是她用于注册Apple ID的网易邮箱出了问题,10月10日开始,此类投诉数量急剧攀升,而且遇到这个问题的用户90%使用的ID都是网易邮箱。

卷卷告诉《IT时报》记者,她的网易邮箱是2006年开始启用的,2011年,她用这个邮箱账号注册了Apple ID。但苹果客服查出的信息显示,10月16日,她的Apple ID被申请注销,然后有人用同一个邮箱地址再次申请Apple ID。表面上看起来,Apple ID并没有变,但实际上注册时间、二次关联的邮箱以及Apple ID的密保问题都已经不是原有的信息了。这意味着,如果卷卷答应了骗子,花钱买回账号,其实拿回来的是骗子重新通过邮箱注册的新ID,如果她没有注意到这点,过段时间,骗子们完全可以利用密保二次修改密码,锁定Apple ID再次进行敲诈。

还好,卷卷记得她第一个Apple ID的原始密保问题和答案,在通过了苹果客服的验证后,客服表示,会将情况发邮件告知美国总部,让她静等回复。

10月21日,A股大跌,下午3点多,刘放(化名)终于解锁了自己的iPhone,安装好炒股软件打开一看,“今日亏损58000”,“还好账号找回来了,如果找不回来,手机和iPad加起来总共还得损失12000多元。”刘放只能这样安慰自己。 刘放的网易邮箱不仅绑定了Apple ID,还有支付宝。10月20日发现问题之后,他赶紧忙着修改自己的支付宝账号、密码、关联邮箱等信息,同时给苹果客服打电话,电话却始终在占线中。

10月21日,在连续不停拨打苹果客服热线2个多小时后, 刘放才被接入系统,所幸Apple ID的密保问题和答案还未被修改,回答正确后,手机解锁,“如果记不得密保答案,也可以拿手机盒和发票到苹果店碰碰运气。”

然而,在“Apple ID被盗找回”QQ群里,像卷卷和刘放这样记得密保答案的人是少数,更多人在群里吐槽,“今天回答了8个答案,都没对,错误次数超标了,只好明天继续打客服电话。”在群里的公告栏上贴着一则告示:“马上修改和重置你的网易邮箱。”

网易邮箱怎么了?

10月19日,乌云漏洞平台发布报告,网易旗下163和126邮箱系统数据库疑似大规模泄露,受影响用户数超过1亿。根据乌云披露的图片,数据压缩包都来自126或者163,其总大小为51.3GB。乌云特别指出,数据信息包括邮箱账号、邮箱密码的md5(一种加密算法工具)、密保问题、密保答案的md5。这个报告掀起轩然大波。因为除了这些信息被泄露之外,同时遭殃的还有用网易邮箱绑定的Apple ID、微博、支付宝、百度云盘、游戏等等其他应用。

在乌云发布报告之前,便有用户开始在网上投诉Apple ID莫名被锁,业内也因此有“网易邮箱信息泄露”的传言,网易邮箱在10月18日和19日两天对此发布公告,称“经严密的技术排查,网易邮箱不存在自身数据泄露问题。此次事件,是由于部分用户在其他网站使用了和网易邮箱相同的账号密码,其他网站的账号信息泄露,被不法分子利用。”也即所谓“撞库”。但乌云在其官方微博上,却明确指出,“网易疑似遭遇拖库攻击”。

在网络安全界,撞库和拖库是两个黑客术语。

撞库是指黑客收集目前互联网已泄露的用户+密码信息,尝试批量登录其他网站,一旦用户为了省事,在多个网站设置了同样的用户名和密码的话,黑客很容易通过已有的信息,登录这些网站,从而获得用户的相关信息。

拖库则是指黑客直接进入网站把注册用户的资料数据库全部盗走的行为。

记者采访多名Apple ID被锁的用户均表示,自己的ID账号是网易邮箱,而且邮箱密码和Apple ID密码均是唯一,并没有与其他网站密码重叠。

国家互联网应急中心证实:有人受影响但不确定是否过亿

10月20日, 国家互联网应急中心(CNCERT)发布了对此事的通报:10月19日15时15分, CNCERT接到网易公司投诉,称乌云曝光情况不实;15时40分,CNCERT收到乌云对该事件的处理请求。经过对相关数据验证,CNCERT的结论是,此次事件中有部分用户受到影响,但目前已披露的数据尚无法支持“过亿数据泄露”这一判断。

到底是拖库还是撞库?不少业内人士告诉《IT时报》记者,虽然这次泄露事件还没有最终定性,“但从流露出的信息来看,包含了密保问题、密保答案等更为隐蔽的信息,如果仅是通过撞库,很难获得密保等信息,撞库的攻击方法一般只会暴露用户名和密码。”国内安全团队KeenTeam成员吕礼胜告诉记者。

“测试账号是否有效的端口应该是网易旗下某PC游戏,上个月就有人发现漏洞了。我就知道这些。”另一位“白帽子”告诉记者。所谓测试账号,黑客拿到数据库后,要排除其中失效、密码以及资料错误的账号,这时需要找一个无需验证码的测试登录端口,通过这种方式找出具有高价值的信息后,再通过黑市销售。不过这位“白帽子”认为,如果真有50G数据库,被直接拉走的可能性不大,但也有可能是拖库者布局很久,漏洞存在时间也很长。

在360补天平台负责人邓焕看来,根据网上流传的数据,网易邮箱系统应该存在问题,不过大多数密保答案会用到中文,解密难度对个人来说比较高。

此前网易也曾被曝有漏洞

实际上,这并不是网易第一次被曝出信息安全问题,2013年的央视315晚会上曾曝光网易邮箱存在偷窥用户邮件内容,默认第三方公司在其网站挂代码,从而获得用户所有浏览记录。今年7月,网易内部运维员工的邮箱账号等敏感信息也泄露了。

记者在乌云平台上看到,7月16日,乌云曾公开过网易的一个漏洞,其涉及大量内部系统、内部服务器权限、企业架构等敏感信息,在对于这个漏洞的详细说明中,漏洞报告者通过账号和密码进入网易的网络管理系统后,登录到交换机,并通过抓包(数据截取)获得一个普通密码和enable密码,继而逐步深入获取内网权限,拿到内部人员邮箱,再次通过抓包获取密码,直至进入内网,出现大量的内部服务器、系统、数据库信息,甚至还进入了网易CEO丁磊的邮箱。乌云平台显示,网易已经确认了这个漏洞,而这个漏洞也被乌云平台打上了“安全意识不足”的标签,“就好比一个再坚固的防盗门,只要被盗贼拿到了钥匙,就彻底失去了防护作用。”

网易邮箱在官方回应中提到,网易邮箱获得了国家最高等级安全证书EAL3+,是目前邮件系统领域最高安全级别证书,也是中国唯一一个获此认证的邮件服务商。《IT时报》记者了解到,该证书由中国信息安全测评中心颁发,该中心对网易进行了2年的考察和审核,才颁发了此证书。一位中心工作人员告诉记者,要拿到EAL3+证书,要经过文档审核、独立性测试、现场核查、回归测试和综合评估等各个环节,“现在来咨询这张证书的邮件服务商蛮多的。”该工作人员告诉记者。

不过,在安全业内人士看来,有了这张证书并不代表着在安全方面没有任何问题,“一套系统不可能天衣无缝,一些可以加固安全的措施还是要格外重视,比如运维人员的设备账号密码和邮箱密码是否一样?有多少员工在各类IT系统使用同一套密码,并且还是弱密码?员工离职后是否及时撤销其内网的权限,撤销是否彻底?”在吕礼胜看来,一套系统能否被攻破,关键还是看其防御程度。

记者实测:有密保答案可以直接改密码

经过一名“白帽子”的指点,《IT时报》记者拿到了一份名为“163mail”的文档,其中有100条数据,每条数据的开头是一个163或者126的邮箱账号,后面是一串乱码,接着是一个问题,比如“我的哥哥是谁”,然后又是一串乱码,最后是一个IP地址和一个年月日组成的日期。这位“白帽子”告诉记者,第一串乱码为邮箱密码,问题应该是密保问题,而第二串密码应为密保的答案,后面应为用户生日。

在这位“白帽子”推荐的一个专业解密网站上,记者输入了一个邮箱对应的一串乱码,经过几十秒等待,乱码变成了一组数字。在网易邮箱网站上,利用账号和这个解出的密码,记者顺利进入了这个后缀为163的邮箱。不过,这100条信息并非每条都能解开,有些密码虽然被解读为明文,但输入后显示,账号和密码并不匹配。20日,国家互联网应急中心(CNCERT)同样拿到的也是这份文件,经过他们测试,有20条信息账号和密码匹配是正确的。

然而,在这个样本中,更可怕的并非是账号密码一致,而是密保问题和答案也被泄露,这意味着,拿到资料的黑客,不仅可以进入你的邮箱,还可以改掉你的邮箱密码。在成功破解了一条问题为“老婆的电话密码”的答案后,记者进入网易邮箱,输入账号,选择“忘记密码”,在找回密码时选择“根据密保提示问题”,跳出的密保问题果然为“老婆的电话号码”,输入答案后,页面提示“请输入新密码”。邮箱密码被改的后果是,即使苹果用户想通过邮箱重置密码,也无法进入邮箱进行确认。

记者手记:可怕的黑色产业,可悲的安全漠视

“介意我用一个实际案例给你解释一下黑产吗?”10月20日,一位“白帽子”在QQ上如是问我。

“好啊,怎样的实际案例?”

“你的密码是××××××,你毕业于×××学校××级,你的另一个手机号是××××××你的办公室在某路某号某层,你的微博小号是×××。”屏幕上一连串个人信息被清晰地列了出来,坐在桌前的记者,一身冷汗。

“你怎么知道的?”

“你的密码很可能是在某个网站上注册使用过,这个网站被黑客拖库了。其他的个人信息,基本是根据社会工程学,在不同已泄露的数据库中交叉比对,最后总结出来的。”

黑色产业,简称黑产,原本是指钢铁产业,如今却成为利用病毒、木马、攻击数据库等手段获取信息,并利用信息获得利益的非法产业的代名词。黑产的操作方式是先经过第一轮洗号,选出一批高价值的信息,去撞游戏平台、第三方支付平台等与现金交易紧密相关的平台,这样带来的价值可能上千万,甚至上亿;第二轮才会卖给一些诈骗团伙,类似这次锁定iPhone,进行敲诈或者电讯诈骗。

真相往往令人毛骨悚然。生活在互联网时代的我们,似乎对信息泄露已习以为常。然而,黑产的发展,已经不再仅仅是给你拨打个广告电话、发个垃圾短信这么简单,而是基于数十亿数据的智能分析。某种程度上,黑产的“魔头”才是真正的大数据拥有者,你的信息泄露得越完整,面临的风险便越大。

然而,比信息泄露更可怕的是,互联网公司对于安全的“漠视”。不久前暴露的苹果 xcode被污染的案例便说明,很多公司,甚至是大公司,网络安全意识之薄弱,难以想象。你们在烧钱圈用户的同时,能在安全上多花点钱吗?(本文作者郝俊慧、潘少颖,由IT时报授权钛媒体发布)

本文系作者 IT时报 授权钛媒体发表,并经钛媒体编辑,转载请注明出处、作者和本文链接
分享到:

第一时间获取TMT行业新鲜资讯和深度商业分析,请在微信公众账号中搜索「钛媒体」或者「taimeiti」,或用手机扫描左方二维码,即可获得钛媒体每日精华内容推送和最优搜索体验,并参与编辑活动。

IT时报
IT时报

中国最早的通信类媒体之一,50年以上传播历史。《IT时报》以敏锐视觉轻松解读城市数字化进程。微信号 / 易信号:vittimes

评论(45

Oh! no

您是否确认要删除该条评论吗?

分享到微信朋友圈